數據包如何分析伺服器主機名

A. cmd怎麼將ip地址解析為主機名

ping命令
1，直接ping主機可以將主機解析為IP
2，-a＋IP可以將IP解析為主機名
3，-l＋數字 可以指定發送包大小

B. linux伺服器被攻擊如何進行抓包來進行分析

用途

tcpmp簡義：mp the traffic on a network，根據使用者的定義對網路上的數據包進行截獲的包分析工具。

 tcpmp可以將網路中傳送的數據包的「頭」完全截獲下來提供分析。它支持針對網路層、協議、主機、網路或埠的過濾，並提供and、or、not等邏輯語句來幫助你去掉無用的信息。

語法

tcpmp [-adeflnNOpqStvx][-c<數據包數目>][-dd][-ddd][-F<表達文件>][-i<網路界面>]

[-r<數據包文件>][-s<數據包大小>][-tt][-T<數據包類型>][-vv][-w<數據包文件>][輸出數據欄位]

參數說明：http://write.blog.csdn.net/postedit/72898655

-a 嘗試將網路和廣播地址轉換成名稱。

-c<數據包數目> 收到指定的數據包數目後，就停止進行傾倒操作。

-d 把編譯過的數據包編碼轉換成可閱讀的格式，並傾倒到標准輸出。

-dd 把編譯過的數據包編碼轉換成C語言的格式，並傾倒到標准輸出。

-ddd 把編譯過的數據包編碼轉換成十進制數字的格式，並傾倒到標准輸出。

-e 在每列傾倒資料上顯示連接層級的文件頭。

-f 用數字顯示網際網路地址。

-F<表達文件> 指定內含表達方式的文件。

-i<網路界面> 使用指定的網路截面送出數據包。

-l 使用標准輸出列的緩沖區。

-n 不把主機的網路地址轉換成名字。

-N 不列出域名。

-O 不將數據包編碼最佳化。

-p 不讓網路界面進入混雜模式。

-q 快速輸出，僅列出少數的傳輸協議信息。

-r<數據包文件> 從指定的文件讀取數據包數據。

-s<數據包大小> 設置每個數據包的大小。

-S 用絕對而非相對數值列出TCP關聯數。

-t 在每列傾倒資料上不顯示時間戳記。

-tt 在每列傾倒資料上顯示未經格式化的時間戳記。

-T<數據包類型> 強制將表達方式所指定的數據包轉譯成設置的數據包類型。

-v 詳細顯示指令執行過程。

-vv 更詳細顯示指令執行過程。

-x 用十六進制字碼列出數據包資料。

-w<數據包文件> 把數據包數據寫入指定的文件。

案例

tcpmp -s 0 -i eth1  -w 94ip.cap

註：監聽 ETH1網站 保存文件為94ip.cap

網雲互聯（www.94ip.net/www.94ip.com）是一家從事伺服器安全防護、入侵檢測、伺服器代維等為一體的公司，免費伺服器安全檢測，並有24小時在線運維工程師為您服務。

C. 哪個命令可用於手動查詢 dns 伺服器來解析特定主機名

nslookup

Refer to curriculum topic: 8.1.2
nslookup命令允許用戶手動查詢 DNS 伺服器來解析給定的主機名。ipconfig/displaydns命令只是顯示之前已解析的 DNS 條目。tracert命令可以檢查數據包通過網路時所用的路徑，並能通過自動查詢 DNS 伺服器來解析主機名。net命令用於管理網路計算機、伺服器、列印機和網路驅動器。

D. 如何分析IP數據包

完全依賴於你的覺悟，數據包監測既是一個重要的管理工具，也可以成為一項邪惡的黑客技 術。事實上，它兩者皆是，一個好的數據包監測軟體通常可以在網路管理和黑客技術工具包中同時找到。黑客可以用數據包監測軟體監聽互聯網，並且追蹤一些敏感數據的交換如登錄對話和財經交 易。網路管理員可以用數據包監測軟體檢測錯誤布線，損壞的數據包和其它網路問題。在本文中，我們覆蓋了開始進行數據包監測需知的所有內容，而沒有涉及太多陰暗面。通過 一個最流行工具軟體的實例，你將學習到在TCP/IP網上四處監聽的基本技術。文中闡述較為 詳細，以幫助你理解在查看數據包時確實能看到什麼，並且介紹了IP欺騙技術。當然，我們 也提供了一個更多網路資源的列表以滿足你所有監聽的需要。一、什麼是數據包監測？數據包監測可以被認為是一根竊聽電話線在計算機-網路中的等價物。當某人在「監聽」網路 時，他們實際上是在閱讀和解釋網路上傳送的數據包。如果你在互聯網上，正通過其它計算機發送數據。發送一封電子郵件或請求下載一個網頁都 會使數據通過你和數據目的地之間的許多計算機。這些你傳輸信息時經過的計算機都能夠看 到你發送的數據。數據包監測工具允許某人截獲數據並且查看它。 互聯網和大多數數據網路一樣，通過從一個主機發送信息數據包到另一個主機來工作。每個> 數據包包含有數據本身和幀頭，幀頭包含數據包的信息如它的目的地和來源。數據包的數據 部分包含發送到網路的信息——它可能是電子郵件，網頁，注冊信息包括密碼，電子商務信 息包括信用卡號碼，和其它一切網路上流動的東西。基於TCP/IP協議的互聯網採用的體系結構是乙太網，它的特點是把所有的數據包在網路中廣 播。網路為大多數計算機提供的介面是一個內置的乙太網卡(也叫做網卡或NIC)。這些介面卡 默認提取出目標地址和自己的網卡地址一致的數據包而過濾掉所有其它的數據包。然而，以 太網卡典型地具有一個「混合模式」選項，能夠關掉過濾功能而查看經過它的所有數據包。 這個混合模式選項恰好被數據包監測程序利用來實現它們的監聽功能。防火牆完全不能阻止數據包被監測。虛擬個人網路(VPN)和加密技術也不能阻止數據包被監測 ，但能使它的危害小一點。要知道許多密碼在網路上傳輸時是不加密的，有時即使已經加密 ，也不能挫敗一個數據包監測工具侵入系統的企圖。一個尋找登錄序列和監聽加密口令的入 侵者並不需要破譯口令為自己所用，而只需要依賴未經授權的加密版。對於需要高度安全的系統，一個和數據包監測技術妥協的保護密碼的最好措施是執行「使用 一次即更改」的密碼方案——所以即使是一個不道德的黑客可能監測了登錄序列，密碼在下 一次試驗時就不起作用了。二、用什麼監測實際上有幾百種可用的數據包監測程序，許多結合起來破譯和掃描特定類型的數據並被專門 設計為黑客的工具。我們在這里不討論任何尋找密碼或信用卡號的工具，但它們確實存在。 這類工具經常有內置的協議分析程序，它能夠幫助翻譯不同網路協議的數據包，而不是提供 原始的數字數據。一個最古老也最成功的數據包和網路分析產品是由WildPackets (以前的AG 組)出品的Ether Peek。 EtherPeek已經存在了10年，堪稱互聯網時代真正的恐龍。他們提供Windows版 和Mac intosh版，每個都具有網路管理員-導向的價格。這個工具軟體開始只是一個網路分析器型的 數據包監測軟體，經過這些年的發展已經成為一個真正的網路管理工具並具有網站監視和分 析等新的功能。在他們的網站有一個演示版，想要試驗的人可以去下載。另一個能夠監視網路活動捕獲和分析數據包的程序是TamoSoft的CommView。這個流行的監測 程序顯示網路連接和IP統計數字，能夠檢查單獨的數據包，通過對IP協議TCP, UDP,和 ICMP 的完全分析解碼到最低層。完全訪問原始數據也只需要花費一個非常友好的價格9（或者 是以更低的價格獲得個人許可證，它只能捕獲發送到你的PC的數據包）。TamiSoft的網站同 樣提供一個可以下載的演示版。如果你運行微軟的Windows NT Server，將不必買任何東西——它有一個內置的數據包監測程 序叫做網路監視器。要訪問它，進入網路控制面板，選擇服務標簽，點擊添加並選擇網路監 視工具和代理。一旦它已經安裝你就可以從程序菜單下的管理工具中運行網路監視器。三、如何監測好了，現在你的手頭至少有一個流行的數據包監測軟體的測試版了，我們要開始研究事情的 真相了，看一看我們實際上能從這些數據包中學到什麼。本文將以Tamisoft的CommView為例 。但同樣的概念和功能在其它的數據包監測產品中也很容易適用。開始工作以前，我們需要打開監測功能，在CommView中通過從下拉菜單中選擇網路適配器， 然後按下開始捕獲按鈕，或從文件菜單中選擇開始捕獲。如果發生網路阻塞，你應該立即看 到一些行為。CommView和大多數數據包監測軟體一樣，有一個顯示IP網路信息的屏幕和一個顯示數據包數 據的屏幕。在默認方式下你將看到IP統計頁。你應該能夠在你的瀏覽器中輸入一個URL，或檢 查你的e-mail，看這個屏幕接收通訊兩端的IP地址數據。除了兩端的IP地址，你應該看到埠號，發送和接受的數據包數，對話的方向（誰發送第一 個數據包），兩個主機間對話的次數，和有效的主機名。CommView能和可選擇的SmartWhoIs 模塊相結合，所以在IP列表中右擊IP號將提供一個查找信息返回關於這個IP號的所有已知的 注冊信息。如果你用popmail型的帳號查收電子郵件，將在IP列表中看到一條線，埠號為1 10，標准popmail埠。你訪問任意網站都會在埠80產生一條線，參見圖A。 查明某些數據包來自於哪兒是數據包監測程序最普通的應用之一。通過運行一個程序如Smar tWhoIs，你能夠把數據包監測程序所給出的鑒定結果——IP和乙太網地址擴展到潛在的更有 用的信息，如誰管理一個IP地址指向的域。一個IP地址和乙太網地址對於要追蹤一個無賴用 戶來說沒有太多作用，但他們的域管理員可能非常重要。在CommView中點擊數據包標簽可以在它們經過時看到實際的數據包。這樣的視圖意義很含糊 ，而且如果你懼怕十六進制，這不是適合你的地方。有一個數據包列表，其中每個數據包都 有一個獨一無二的數據包編號。在列表視圖中你也可以看到數據包的協議（如TCP/IP），MA C (乙太網)地址，IP地址和埠號。在CommView數據包窗口中間的窗格中你可以看到在列表中選擇的無論什麼數據包的原始數據 。既有數據包數據的十六進製表示也有一個清楚的文本翻譯。底部的窗格顯示了IP數據包的 解碼信息，包括數據包在IP, TCP, UDP, 和 ICMP層的完整分析，參見圖B。如果你正在和這些信息打交道，那麼你不是在進行繁重的網路故障排除工作，就是在四處窺 探。翻譯十六進制代碼不是這篇文章討論的范圍，但應用正確的工具，數據包可以被解開而 看到其內容。當然這些並不是用一個數據包檢測軟體所能做的一切——你也可以復制數據包，為捕獲數據 包建立規則和過濾器，以成打不同的方式獲得各種統計數字和日誌。功能更加強大的工具不 僅限於可以查看，記錄和分析發送和交換數據包，利用它們不費多少功夫就可以設想出一些狡猾的應用程序。四、IP欺騙和更多資源一個完全不友好的數據包監測應用程序是一種IP欺騙技術。這時，一個不道德的用戶不僅查 看經過的數據包，而且修改它們以獲得另一台計算機的身份。當一個數據包監測程序在兩台正在通訊的計算機段內時，一個黑客就能監聽出一端的身份。 然後通過找到一個信任埠的IP地址並修改數據包頭使數據包看起來好象來自於那個埠達 到攻擊連接的目的。這類活動通常伴隨著一個對偽造地址的拒絕服務攻擊，所以它的數據包 不會被入侵干擾。關於數據包監測和IP欺騙技術的信息成噸，我們僅僅描述了對TCP/IP數據包操作的一些表面 知識。在開始數據包監測以前最好深入了解TCP/IP和網路——這樣做更有意義。這里是一個 為那些想要進一步研究這個問題的人們提供的附加的資源列表。 ZDNet"s Computer Shopper Network Utilities
Packetstorm"s packet sniffer section with over 100 sniffing programs
Wild Packets, makers of EtherPeekEtherPeekTamoSoft, makers of CommView
An overview of the TCP/IP Protocol Suite 最後一句警告——小心你監測的場所。在你家裡的PC上運行一個數據包監測程序學習TCP/IP ，或者是在你控制的區域網運行以解決故障是一回事，在別人的網路上偷偷地安裝卻是另一 回事。機敏的網路管理員在集中注意力時會發現監測他們網路的人，並且他們通常不會很高興。

E. 《Wireshark數據包分析實戰》（三）地址解析協議(ARP)

網路上的通信會使用到邏輯地址（IP地址）和物理地址（MAC地址）。邏輯地址可以使得不同網路以及沒有直接相連的設備之間能夠進行通信。物理地址則用來在單一網段中交換機直接連接的設備之間進行通信。在大多數情況下，正常通信需要這兩種地址協同工作。

我們假設這樣一個場景：你需要和你網路中的一個設備進行通信，這個設備可能是某種伺服器，或者只是你想與之共享文件的另一個工作站。你所用來創建這個通信的應用已經得到這個遠程主機的IP地址（通過DNS服務），也意味著系統已經擁有用來構建它想要在第3層到第7層中傳遞的數據包所需要的信息。這時它所需要的唯一信息就是第2層包含目標主機MAC地址的數據鏈路層數據。

之所以需要MAC地址，是因為網路中用於連接各個設備的交換機使用了內容定址寄存器（CAM）。這個表列出了它在每一個埠所有連接設備的MAC地址。當交換機收到一個指向特定MAC地址的流量，它會使用這個表，來確定應該使用哪一個埠發送流量。如果目標的MAC地址是未知的，這個傳輸設備會首先在它的緩存中查找這個地址，如果沒有找到，那麼這個地址就需要在網路上額外的通信來解析了。

TCP/IP網路（基於IPv4）中用來將IP地址解析為MAC地址的過程稱為地址解析協議（Address Resolution Protocol，ARP），它的解析過程只使用兩種數據包：一個ARP請求與一個ARP響應。

讓我們做個小實驗，在區域網內ping一個主機IP，假設是第一次ping，本機的ARP表並未緩存，可以通過 arp -a 命令查看。

本機IP192.168.3.7，ping區域網內192.168.3.5的主機，執行以下命令：

開始抓包分析。

上圖是一個ARP請求數據包，通過Wireshark的Packet Details面板中，檢查乙太網頭，來確定這個數據包是否是一個真的廣播數據包。這個數據包的目的地址是ff:ff:ff:ff:ff:ff:ff。這是一個乙太網的廣播地址，所有發送到這個地址的數據包都會被廣播到當前網段中的所有設備。這個數據包中乙太網頭的源地址就是我的MAC地址。

在這個給定的結構中，我們可以確定這的確是一個在乙太網上使用IP的ARP請求，從數據包的操作碼（opcode）為1可以得知。這個ARP的頭列出了發送方的IP（本機的IP 192.168.3.7）和MAC地址，以及接收方的IP地址192.168.3.5。我們想要得到的目標MAC地址，還是未知的，所以這里的目的MAC地址填寫為00:00:00:00:00:00。

這是一個回應ARP請求的響應，opcode現在是2表示這是一個響應而不是請求。

發送方和接收方的地址發生了轉換，重要的是現在數據包中所有的信息都是可用的，也就是說我們現在有了192.168.3.5主機的MAC地址。

執行以下命令

可以得知192.168.3.5及其對應的MAC地址已經被緩存。

大多數情況下，一個設備的IP地址是可以改變的。當這樣的改變發生後，網路主機中緩存的IP和MAC地址映射就不再有效了。為了防止造成通信錯誤，無償的ARP請求會被發送到網路中，強制所有收到它的設備去用新的IP和MAC地址映射更新緩存。

檢查上述數據包，你會看見這個數據包是以廣播的形式發送，以便網路上的所有主機都能收到它。這個ARP頭的特點就是發送方的IP地址和目標IP地址是相同的。當這個數據包被網路中的其他主機接收到之後，它會讓這些主機更新映射表，由於這個ARP數據包時未經請求的，卻導致客戶端更新ARP緩存，所以會稱之為無償。

F. 使用帶參數ping命令——可以得到對方的主機名

使用帶-a參數ping命令,可以得到對方的主機名。

例如：ping -a 192.168.2.1。

在共享上網的機器中，出於安全考慮，大部分作為伺服器的主機都安裝了個人防火牆軟體，而其他作為客戶機的機器則一般不安裝。

幾乎所有的個人防火牆軟體，默認情況下是不允許其他機器Ping本機的。一般的做法是將來自外部的ICMP請求報文濾掉，但它卻對本機出去的ICMP請求報文，以及來自外部的ICMP應答報文不加任何限制。

這樣，從本機Ping其他機器時，如果網路正常，就沒有問題。但如果從其他機器Ping這台機器，即使網路一切正常，也會出現「超時無應答」的錯誤。

大部分的單方向Ping通現象源於此。解決的辦法也很簡單，根據你自己所用的不同類型的防火牆，調整相應的設置即可。

(6)數據包如何分析伺服器主機名擴展閱讀：

ping命令有很多參數，例如：

-tPing指定的計算機直到中斷。

-a將地址解析為計算機名。

-ncount發送count指定的ECHO數據包數。默認值為4。

-llength發送包含由length指定的數據量的ECHO數據包。默認為32位元組;最大值是65,527。

-f在數據包中發送"不要分段"標志。數據包就不會被路由上的網關分段。

-ittl將"生存時間"欄位設置為ttl指定的值。

-vtos將"服務類型"欄位設置為tos指定的值。

-rcount在"記錄路由"欄位中記錄傳出和返回數據包的路由。count可以指定最少1台，最多9台計算機。

-scount指定count指定的躍點數的時間戳。

-jcomputer-list利用computer-list指定的計算機列表路由數據包。連續計算機可以被中間網關分隔(路由稀疏源)IP允許的最大數量為9。

G. 主機是如何分析一個數據包的目的地是子網內部還是其他子網的

主機會通過數據鏈路層來分析一個數據包，主機會通過本機路由表來判斷目的網路是否同一子網還是另一個子網。數據包文件頭上有地址，通過對照路由表來分析判斷。劃分子網的方法是從網路的主機號借用若干位作為子網號(subnet-id），當然主機號也就相應減少了同樣的位數。於是兩級IP地址在本單位內部就變為三級IP地址：網路號、子網號和主機號。